스카다 시스템 특화 컨설팅 방법론 개발 완료

 
[아이티데일리] SK인포섹(대표 한범식)은 스카다(SCADA)로 대변되는 산업제어시스템(ICS, Industrial Control System)에 대한 보안 취약점 진단 컨설팅 방법론을 개발, ICS 정보보호 컨설팅 사업에 본격 나선다고 22일 밝혔다.

ICS는 산업 공정과 기반시설, 설비 등의 작업 공정을 감시하고 제어하는 시스템으로 발전소, 교통시스템, 전력 및 유류 관리시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다. 독립된 폐쇄망에서 비공개 전용 프로토콜을 사용하고 있어 상대적으로 보안 수준이 높은 편으로 알려져 있다.

그러나 최근 들어 시스템 환경이 개방형으로 바뀌고, 네트워크 연결의 확산으로 보안 위협이 잦아지면서 우크라이나 정전 사태나 국내 한수원 해킹 사고 등 ICS에 대한 보호의 필요성이 높아지고 있다.

SK인포섹이 개발한 ICS 정보보호 컨설팅 방법론은 스카다, 분산제어시스템, 반도체/에너지/화학 공정 프로세스 기반의 보안 분석 프레임워크를 바탕으로 ICS를 구성하는 IT자산에 대한 아키텍처(Architecture)를 분석하고, 취약점을 찾아내 마스터플랜을 수립하는데 활용한다. SK인포섹의 표준 보안컨설팅 방법론(ISCM, Infosec Security Consulting Methodology)의 프로세스를 기반으로 ▲분석 ▲평가 ▲설계 ▲구현 ▲이행 등 총 5단계로 이뤄져 있다.

ICS 정보보호 컨설팅 방법론에는 반도체 등 생산/제조 공정관리 분야(Discrete process), 에너지/화학 공정관리 분야(Continuous process), 그리고 상하수도/공공발전 분야인 스카다 시스템 등 산업분야별 시스템에 특화된 보안 분석 프레임워크(Framework)를 갖추고 있다.

특히 ▲PLC, HMI 등 제어시스템에 대한 시나리오 기반의 모의해킹 기준 및 절차 ▲산업제어 영역에 사용되는 IT시스템에 대한 기술적 점검 기준 ▲정보보호 관리체계의 국제 표준인 ISO27001의 에너지 유틸리티(Energy Utility) 분야 모범사례인 ISO27019를 적용한 관리/물리 진단 기준까지 3박자를 완벽히 갖췄다.

이동만 SK인포섹 전략사업부문장은 “ICS 분야는 IT환경의 폐쇄성과 산업 공정에 대한 이해 부족으로 정보보호 컨설팅서비스가 진입하기 어려운 시장이었다”며, “이번에 개발한 방법론을 통해 ICS 보안 수준을 한 단계 발전시킬 수 있도록 하겠다”고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지